Inicio
Resoluciones
Resolución de la Agencia ...re de 2022

Última revisión
01/09/2023

Resolución de la Agencia Española de Protección de Datos PS-00280-2022 de 03 de noviembre de 2022

nuevo

GPT Iberley IA

Copiloto jurídico

Relacionados:

Tiempo de lectura: 22 min

Órgano: Agencia Española de Protección de Datos

Fecha: 03/11/2022

Num. Resolución: PS-00280-2022

Cuestión

1 / 10

Expediente N.º: PS/00280/2022

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : En fecha 9 de marzo de 2021 , tuvo entrada en esta Agencia Española de

Protección de...

Contestacion

1/10

? Expediente N.º: PS/00280/2022

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: En fecha 9 de marzo de 2021, tuvo entrada en esta Agencia Española de

Protección de Datos (en adelante AEPD) escrito de reclamación, presentado por

A.A.A., (en adelante, reclamante) porque se han cedido sus datos personales a un

tercero, sin su consentimiento.

SEGUNDO: De acuerdo con el mecanismo previo a la admisión a trámite de las

reclamaciones que se formulan ante la AEPD, previsto en el artículo 65.4 de la Ley

Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos digitales (en lo sucesivo, LOPDGDD), se dio traslado de la reclamación a

MEDIA MARKT SATURN ADMINISTRACION ESPAÑA, S.A. para que procediera a

su análisis y diera respuesta en el plazo de un mes, lo que verificó mediante escrito de

fecha de entrada en esta Agencia de 28 de mayo de 2021.

TERCERO: En fecha 7 de junio de 2021, tras analizarse la documentación que obraba

en el expediente, se dictó resolución por la directora de la Agencia Española de

Protección de Datos, acordando la no admisión a trámite de la reclamación.

La resolución fue notificada al reclamante en fecha 9 de junio de 2021, según aviso de

recibo que figura en el expediente.

CUARTO: En fecha 15 de junio de 2021, el reclamante interpone un recurso

potestativo de reposición (***EXP.1) a través del Registro Electrónico de la AEPD,

contra la resolución recaída en el expediente ***EXP.2, en el que muestra su

disconformidad con la resolución impugnada, exponiendo que hace referencia a

hechos no manifestados por él.

Su reclamación no hace referencia a la cesión realizada por parte de MEDIA MARKT,

sino que la responsabilidad de esa acción recae en la empresa de reparto (UNITED

PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC).

Expone que su pedido fue entregado a una de las vecinas de la comunidad en la que

reside, sin previo aviso y por tanto, sin contar con su consentimiento previo y expreso,

incumpliendo, además, la Ley 43/2010 del Servicio Postal Universal. Asimismo, aduce

que ejercitó el derecho de oposición, sin obtener respuesta alguna.

QUINTO: En fecha 23 de diciembre de 2021 se remitió la reclamación formulada y el

recurso interpuesto a la empresa de reparto UNITED PARCEL SERVICE ESPAÑA

LTD Y COMPAÑIA SRC en el marco de lo establecido en el artículo 118 de la Ley

39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas a los efectos de que formulase las alegaciones y

presentase los documentos y justificantes que estimase procedentes.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/10

La notificación del trámite de audiencia se produjo en fecha 23 de diciembre de 2021,

a través del Servicio de Notificaciones Electrónicas y Dirección Electrónica Habilitada,

según certificado que figura en el expediente.

UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC no ha formulado

alegación alguna.

SEXTO: La Directora de la Agencia Española de Protección de Datos, resuelve:

? Estimar el recurso de reposición (***EXP.1) interpuesto por A.A.A. contra

la resolución de esta Agencia dictada en fecha 7 de junio de 2021.

? Admitir a trámite la reclamación formulada contra UNITED PARCEL

SERVICE ESPAÑA LTD Y COMPAÑIA SRC, de conformidad con el artículo 65

de la LOPDGDD.

SEPTIMO: Con fecha 5 de julio de 2022, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada,

con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre,

del Procedimiento Administrativo Común de las Administraciones Públicas (en

adelante, LPACAP), por la presunta infracción del artículo 5.1.f) del RGPD y artículo

32 del RGPD, tipificada en el artículo 83.5 del RGPD.

OCTAVO: Notificado el citado acuerdo de inicio conforme a las normas establecidas

en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas (en adelante, LPACAP), la parte reclamada presentó escrito

de alegaciones en el que, en síntesis, manifestaba que en el caso que nos ocupa es

un prestador de servicios que tiene cumplir los servicios acordados con MEDIA

MARKT bajo las condiciones previstas en el contrato suscrito entre ambos.

En este sentido, cabe señalar que actúa y procede según lo acordado con MEDIA

MARKT, y con el objeto de garantizar la entrega del pedido en el plazo y forma

acordado con MEDIA MARKT, siempre en favor y en interés del propio denunciante.

Se remiten la cláusula 10 y 11 de los términos y condiciones del contrato que las rige:

( https://www.ups.com/assets/resources/webcontent/es_ES/terms_carriage_es.pdf )

donde se recoge, por un lado, la posibilidad de entrega del paquete al vecino en

ausencia del destinatario; y por otro, la obligación del remitente del envío, en nuestro

caso MEDIA MARKT, de informar debidamente al destinatario sobre el tratamiento de

sus datos en el marco de los servicios que ofrece la entidad reclamada.

?10. Entrega

Si el receptor no se encuentra disponible, el paquete podrá ser depositado en el buzón

de correspondencia postal del domicilio del receptor, si se considera apropiado, o

entregado al vecino salvo que el remitente haya excluido esta opción de entrega

mediante la elección del servicio adicional aplicable. ?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/10

?11. Protección de datos

11.2. Por otra parte, el remitente garantiza que ha informado debidamente al

destinatario de que UPS podrá utilizar los datos personales del destinatario de

acuerdo con el enlace anterior de Aviso de privacidad UPS vigente en el momento del

envío respecto a usos distintos a los especificados en la anterior subsección.?

La entidad reclamada como proveedor de MEDIA MARKT, no tiene constancia de que

en el envío concreto al denunciante se hubiera tenido que proceder de una forma

específica o distinta a lo acordado con MEDIA MARKT.

Por tanto, si la Agencia resolvió no admitir la reclamación inicial interpuesta por el

denunciante contra MEDIA MARKT en la que el denunciante se refería expresamente

a la comunicación de sus datos a un tercero sin su consentimiento, entiende esta parte

que debería proceder igualmente en el caso que nos ocupa, toda vez que la entidad

reclamada ha actuado según lo acordado con su cliente MEDIA MARKT.

Si la Agencia acordó no admitir a trámite la reclamación contra MEDIA MARKT,

entonces no puede existir razón para que ello no suceda igualmente frente la entidad

reclamada.

NOVENO: Con fecha 9 de agosto de 2022, el instructor del procedimiento acordó dar

por reproducidos a efectos probatorios la reclamación interpuesta por A.A.A. y su

documentación, los documentos obtenidos y generados durante la fase de admisión a

trámite de la reclamación, y el informe de actuaciones previas de investigación que

forman parte del procedimiento ***EXP.1.

Asimismo, se da por reproducido a efectos probatorios, las alegaciones al acuerdo de

inicio del procedimiento sancionador referenciado, presentadas por UNITED PARCEL

SERVICE ESPAÑA LTD Y COMPAÑIA SRC, y la documentación que a ellas

acompaña.

DECIMO: Con fecha 22 de agosto de 2022 se formuló propuesta de resolución,

proponiendo que por la Directora de la Agencia Española de Protección de Datos se

sancione a UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC, con NIF

C28328508, por una infracción del artículo 5.1.f) del RGPD y por una segunda

infracción del artículo 32 del RGPD, tipificadas respectivamente en los artículos 83.5 a)

y 83.4 a) del RGPD, con una multa de 50.000 euros (cincuenta mil euros) y 20.000

euros (veinte mil euros) respectivamente.

UNDECIMO: Con fecha 5 de septiembre de 2022 se formulan alegaciones a la

propuesta de resolución por parte de la entidad reclamada alegando que MEDIA

MARKT era conocedora y había aceptado contractualmente que UPS pudiera dejar

sus paquetes a la atención de un vecino, ya que así consta en las cláusulas 10 y 11 de

los Términos y Condiciones del contrato firmado entre la entidad reclamada y MEDIA

MARKT.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/10

De este modo, es la propia MEDIA MARKT, como remitente del producto, la que

debería haber excluido la posibilidad de la entrega a un vecino del reparto, pues UPS

le informó expresamente de que en defecto de esta exclusión ello era posible.

Por ello, la entidad reclamada considera que ha actuado de conformidad con el

contrato firmado con MEDIA MARKT, siendo la propia MEDIA MARKT como

responsable del tratamiento de los datos quien tenía la obligación de informar a la

entidad reclamada que no podía proceder a la entrega a través de un vecino.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos

en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS PROBADOS

PRIMERO: El pedido realizado por el reclamante fue entregado a una de las vecinas

de la comunidad en la que reside, sin previo aviso y por tanto, sin contar con su

consentimiento previo y expreso.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales (en adelante, LOPDGDD), es competente para

iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección

de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos."

II

Los principios relativos al tratamiento de datos de carácter personal, se regulan en el

artículo 5 del RGPD donde se establece que ?los datos personales serán:

?a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud,

lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados

ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89,

apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en

interés público, fines de investigación científica e histórica o fines estadísticos no se

considerará incompatible con los fines iniciales («limitación de la finalidad»);

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/10

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los

que son tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas

razonables para que se supriman o rectifiquen sin dilación los datos personales que

sean inexactos con respecto a los fines para los que se tratan («exactitud»);

e) mantenidos de forma que se permita la identificación de los interesados durante no

más tiempo del necesario para los fines del tratamiento de los datos personales; los

datos personales podrán conservarse durante períodos más largos siempre que se

traten exclusivamente con fines de archivo en interés público, fines de investigación

científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1,

sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que

impone el presente Reglamento a fin de proteger los derechos y libertades del

interesado («limitación del plazo de conservación»);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos

personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra

su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas

u organizativas apropiadas («integridad y confidencialidad»).

El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en

el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).?

El artículo 72.1 a) de la LOPDGDD señala que ?en función de lo que establece el

artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán

a los tres años las infracciones que supongan una vulneración sustancial de los

artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías

establecidos en el artículo 5 del Reglamento (UE) 2016/679?.

III

La seguridad en el tratamiento de datos personales viene regulada en el artículo 32 del

RGPD donde se establece lo siguiente:

?1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza

, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad

y gravedad variables para los derechos y libertades de las personas físicas, el responsable

y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas

para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya

, entre otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia

permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de

forma rápida en caso de incidente físico o técnico;

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/10

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las

medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta

los riesgos que presente el tratamiento de datos, en particular como consecuencia

de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos

, conservados o tratados de otra forma, o la comunicación o acceso no autorizados

a dichos datos.

3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo

de certificación aprobado a tenor del artículo 42 podrá servir de elemento para

demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente

artículo.

4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que

cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga

acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones

del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de

los Estados miembros.?

El artículo 73.f) de la LOPDGDD, bajo la rúbrica ?Infracciones consideradas graves

dispone:

?En función del artículo 83.4 del Reglamento (UE) 2016/679 se considerarán graves y

prescribirán a los dos años las infracciones que supongan una vulneración sustancial

de los artículos mencionados en aquel, y en particular los siguientes:

f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten

apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento,

en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679

IV

Se considera que la parte reclamada ha cedido los datos del reclamante a un tercero,

sin su consentimiento.

Según las Directrices 07/2020 del Comité Europeo de Protección de Datos (CEPD)

sobre los conceptos de responsable del tratamiento y encargado en el RGPD, los

conceptos de encargado y responsable son funcionales y se tienen que asignar

teniendo en cuenta las actividades reales de cada uno. Hay que analizar en cada caso

la relación jurídica establecida entre las partes.

En este caso concreto, la parte reclamada ha aportado los términos y condiciones que

rigen el contrato suscrito con MEDIA MARKT para alegar que ha actuado de

conformidad con dicho contrato de prestación de servicios, según el cual debe ser

MEDIA MARKT quien solicite el consentimiento de su cliente cuando este solicite el

servicio de entrega del producto por mensajería. Sin embargo, UPS no ha acreditado

que concurran los requisitos necesarios para ser considerado encargado del

tratamiento, pues no se ha acreditado que entre MEDIA MARK y UPS se haya suscrito

el contrato que debe regir las relaciones entre responsable y encargado del

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/10

tratamiento de datos personales según se establece en el artículo 28.3 del RGPD

donde se detallan las instrucciones precisas para el tratamiento de datos personales

dadas por el responsable.

En este sentido señalar que el artículo 28.3 b) y c) del RGPD, respecto de los

encargados del tratamiento de datos personales establece lo siguiente:

?El tratamiento por el encargado se regirá por un contrato (?) que vincule al

encargado respecto del responsable.

Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

b) garantizará que las personas autorizadas para tratar datos personales se hayan

comprometido a respetar la confidencialidad o estén sujetas a una obligación de

confidencialidad de naturaleza estatutaria;

c) tomará todas las medidas necesarias de conformidad con el artículo 32;

Por lo tanto, el hecho de tener firmado un contrato con MEDIA MARKT no deja

exento de responsabilidad a UPS, en este caso a la empresa reclamada, porque no se

ha concretado si estamos ante un contrato de servicios o bien un contrato celebrado

entre responsable y encargado del tratamiento de datos personales, siendo en este

segundo caso, de obligado cumplimiento que se cumplan todas las garantías exigidas

de conformidad con el artículo 28 del RGPD.

Así las cosas, los hechos conocidos son constitutivos de una infracción, imputable a la

parte reclamada, por vulneración del precepto 5.1 f) del RGPD, de conformidad con lo

establecido en el fundamento de derecho II.

Esta Agencia considera además que nos encontramos ante una vulneración del

artículo 32 del RGPD, ya que las medidas de seguridad de la entidad reclamada no

son adecuadas y deben ser mejoradas tras haber quedado constatado que no han

sido suficientes para evitar los hechos denunciados.

Por todo ello, esta Agencia considera que la entidad reclamada ha infringido los

artículos 5.1 f) y 32 del RGPD, al violar el principio de integridad y confidencialidad, así

como no adoptar las medidas de seguridad necesarias para garantizar la protección de

los datos de carácter personal de sus clientes.

V

El artículo 58.2 del RGPD dispone lo siguiente: ?Cada autoridad de control dispondrá

de todos los siguientes poderes correctivos indicados a continuación:

d) ordenar al responsable o encargado del tratamiento que las operaciones de

tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda,

de una determinada manera y dentro de un plazo especificado;

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/10

i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las

medidas mencionadas en el presente apartado, según las circunstancias de cada caso

particular;

VI

La infracción del artículo 5.1 f) del RGPD, puede ser sancionada con multa de 20 000

000 ? como máximo o, tratándose de una empresa, de una cuantía equivalente al 4%

como máximo del volumen de negocio total anual global del ejercicio financiero

anterior, optándose por la de mayor cuantía, de acuerdo con el artículo 83.5 del

RGPD.

Asimismo, se considera que procede graduar la sanción a imponer de acuerdo con los

siguientes criterios que establece el artículo 83.2 del RGPD, considerando como

agravante según el artículo 76.2 b) LOPDGDD, la vinculación del responsable con el

tratamiento de datos personales.

VII

La infracción del artículo 32 del RGPD puede ser sancionada con multa de 10 000 000

? como máximo o, tratándose de una empresa, de una cuantía equivalente al 2%

como máximo del volumen de negocio total anual global del ejercicio financiero

anterior, optándose por la de mayor cuantía, de acuerdo con el artículo 83.4 del

RGPD.

Asimismo, se considera que procede graduar la sanción a imponer de acuerdo con los

siguientes criterios que establece el artículo 83.2 del RGPD, considerando como

agravante según el artículo 76.2 b) LOPDGDD, la vinculación del responsable con el

tratamiento de datos personales.

VIII

De acuerdo con los preceptos transcritos, a efectos de fijar el importe de las multas a

imponer, se estiman concurrentes en el presente caso, para ambas infracciones, en

calidad de agravantes, los siguientes factores:

? La vinculación de la actividad del infractor con la realización de

tratamientos de datos personales.

A la vista de lo expuesto se procede a emitir la siguiente

VIII

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/10

PRIMERO: IMPONER a UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA

SRC, con NIF C28328508, por una infracción del artículo 5.1.f) del RGPD, tipificada en

el artículo 83.5 del RGPD, una multa de 50.000 euros (CINCUENTA MIL euros).

SEGUNDO: IMPONER a UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA

SRC, con NIF C28328508, por una infracción del artículo 32 del RGPD, tipificada en el

artículo 83.4 del RGPD, una multa de 20.000 euros (VEINTE MIL euros).

TERCERO: NOTIFICAR la presente resolución a UNITED PARCEL SERVICE

ESPAÑA LTD Y COMPAÑIA SRC.

CUARTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una

vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el

art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago

voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado

por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,

de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número

de procedimiento que figura en el encabezamiento de este documento, en la cuenta

restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia

Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso

contrario, se procederá a su recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra

entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago

voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se

encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago

será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los

interesados podrán interponer, potestativamente, recurso de reposición ante la

Directora de la Agencia Española de Protección de Datos en el plazo de un mes a

contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se

podrá suspender cautelarmente la resolución firme en vía administrativa si el

interesado manifiesta su intención de interponer recurso contencioso-administrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante

escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través

del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/10

web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la

citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la

documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.

Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

938-120722

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es